Verzeichnis der Maßnahmen aus Anhang A der ISO 27001

Größe: px
Ab Seite anzeigen:

Download "Verzeichnis der Maßnahmen aus Anhang A der ISO 27001"

Transkript

1 Verzeichnis der Maßnahmen aus Anhang A der ISO Das folgende Verzeichnis verweist auf die Erläuterungen in diesem Buch zu den angegebenen Regelungsbereichen (erste Gliederungsebene), Sicherheitskategorien (zweite Gliederungsebene) und Maßnahmen (dritte Gliederungsebene). A.5 Sicherheitsleitlinie A.5.1 Informationssicherheitsleitlinie A Leitlinie zur Informationssicherheit A Überprüfung der Informationssicherheitsleitlinie A.6 Organisation der Informationssicherheit A6.1 Interne Organisation A Engagement des Managements für Informationssicherheit A Koordination der Informationssicherheit A Zuweisung der Verantwortlichkeiten für Informationssicherheit A Genehmigungsverfahren für informationsverarbeitende Einrichtungen A Vertraulichkeitsvereinbarungen A Kontakt zu Behörden A Kontakt zu speziellen Interessengruppen A Unabhängige Überprüfung der Informationssicherheit A.6.2 Externe Parteien A A A Identifizierung von Risiken in Zusammenhang mit Externen Adressieren von Sicherheit im Umgang mit Kunden Adressieren von Sicherheit in Vereinbarungen mit Dritten

2 Verzeichnis der Maßnahmen aus Anhang A der ISO A.7 Management von organisationseigenen Werten A.7.1 Verantwortung für organisationseigene Werte A Inventar der organisationseigenen Werte A Eigentum von organisationseigenen Werten A Zulässiger Gebrauch von organisationseigenen Werten A.7.2 Klassifizierung von Informationen A Regelungen für die Klassifizierung A Kennzeichnung von und Umgang mit Informationen A.8 Personalsicherheit A.8.1 Vor der Anstellung A Aufgaben und Verantwortlichkeiten A Überprüfung A Arbeitsvertragsklauseln A.8.2 Während der Anstellung A Verantwortung des Managements A Sensibilisierung, Ausbildung und Schulung für Informationssicherheit A Disziplinarverfahren A.8.3 Beendigung oder Änderung der Anstellung A Verantwortlichkeiten bei der Beendigung A Rückgabe von organisationseigenen Werten A Aufheben von Zugangsrechten A.9 Physische und umgebungsbezogene Sicherheit A.9.1 Sicherheitsbereiche A Sicherheitszonen A Zutrittskontrolle A Sicherung von Büros, Räumen und Einrichtungen A Schutz vor Bedrohungen von Außen und aus der Umgebung A Arbeit in Sicherheitszonen

3 Verzeichnis der Maßnahmen aus Anhang A der ISO A Öffentlicher Zugang, Anlieferungs- und Ladezonen A.9.2 Sicherheit von Betriebsmitteln A Platzierung und Schutz von Betriebsmitteln A Unterstützende Versorgungseinrichtungen A Sicherheit der Verkabelung A Instandhaltung von Gerätschaften A Sicherheit von außerhalb des Standorts befindlicher Ausrüstung A Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln A Entfernung von Eigentum A.10 Betriebs- und Kommunikationsmanagement A.10.1 Verfahren und Verantwortlichkeiten A Dokumentierte Betriebsprozesse A Änderungsverwaltung A Aufteilung von Verantwortlichkeiten A Aufteilung von Entwicklungs-, Test- und Produktiveinrichtungen A.10.2 Management der Dienstleistungs-Erbringung von Dritten A Erbringung von Dienstleistungen A Überwachung und Überprüfung der Dienstleistungen von Dritten A Management von Änderungen an Dienstleistungen von Dritten A.10.3 Systemplanung und Abnahme A Kapazitätsplanung A System-Abnahme A.10.4 Schutz vor Schadsoftware und mobilem Programmcode A Maßnahmen gegen Schadsoftware A Schutz vor mobiler Software (mobilen Agenten) A.10.5 Backup A Backup von Informationen

4 Verzeichnis der Maßnahmen aus Anhang A der ISO A.10.6 Management der Netzsicherheit A Maßnahmen für Netze A Sicherheit von Netzdiensten A.10.7 Handhabung von Speicher- und Aufzeichnungsmedien A Verwaltung von Wechselmedien A Entsorgung von Medien A Umgang mit Informationen A Sicherheit der Systemdokumentation A.10.8 Austausch von Informationen A Regelwerke und Verfahren zum Austausch von Informationen A Vereinbarungen zum Austausch von Informationen A Transport physischer Medien A Elektronische Mitteilungen / Nachrichten (Messaging) A Geschäftsinformationssysteme A.10.9 E-Commerce-Anwendungen A E-Commerce A Online-Transaktionen A Öffentlich verfügbare Informationen A Überwachung A Auditprotokolle A Überwachung der Systemnutzung A Schutz von Protokollinformationen A Administrator- und Betreiberprotokolle A Fehlerprotokolle A Zeitsynchronisation A.11 Zugangskontrolle A.11.1 Geschäftsanforderungen für Zugangskontrolle A Regelwerk zur Zugangskontrolle A.11.2 Management des Benutzerzugriffs A Benutzerregistrierung

5 Verzeichnis der Maßnahmen aus Anhang A der ISO A Verwaltung von Sonderrechten A Verwaltung von Benutzerpasswörtern A Überprüfung von Benutzerberechtigungen A.11.3 Benutzerverantwortung A Passwortverwendung A Unbeaufsichtigte Benutzerausstattung A Der Grundsatz des aufgeräumten Schreibtischs und des leeren Bildschirms A.11.4 Zugangskontrolle für Netze A Regelwerk zur Nutzung von Netzen A Benutzerauthentisierung für externe Verbindungen A Geräteidentifikation in Netzen A Schutz der Diagnose- und Konfigurationsports A Trennung in Netzwerken A Kontrolle von Netzverbindungen A Routingkontrolle für Netze A.11.5 Zugriffskontrolle auf Betriebssysteme A Verfahren für sichere Anmeldung A Benutzeridentifikation und Authentisierung A Systeme zur Verwaltung von Passwörtern A Verwendung von Systemwerkzeugen A Session Time-out A Begrenzung der Verbindungszeit A.11.6 Zugangskontrolle zu Anwendungen und Informationen A Einschränkung von Informationszugriff A Isolation sensibler Systeme A.11.7 Mobile Computing und Telearbeit A Mobile Computing und Kommunikation A Telearbeit

6 Verzeichnis der Maßnahmen aus Anhang A der ISO A.12 Beschaffung, Entwicklung und Wartung von Informationssystemen A.12.1 Sicherheitsanforderungen von Informationssystemen A Analyse und Spezifikation von Sicherheitsanforderungen A.12.2 Korrekte Verarbeitung in Anwendungen A Überprüfung von Eingabedaten A Kontrolle der internen Verarbeitung A Integrität von Nachrichten A Überprüfung von Ausgabedaten A.12.3 Kryptografische Maßnahmen A Leitlinie zur Anwendung von Kryptografie A Verwaltung kryptografischer Schlüssel A.12.4 Sicherheit von Systemdateien A Kontrolle von Software im Betrieb A Schutz von Test-Daten A Zugangskontrolle zu Quellcode A.12.5 Sicherheit bei Entwicklungs- und Unterstützungsprozessen A Änderungskontrollverfahren A Technische Kontrolle von Anwendungen nach Änderungen am Betriebssystem A Einschränkung von Änderungen an Softwarepaketen A Ungewollte Preisgabe von Informationen A Ausgelagerte Softwareentwicklung A.12.6 Schwachstellenmanagement A Kontrolle technischer Schwachstellen A.13 Umgang mit Informationssicherheitsvorfällen A.13.1 Melden von Informationssicherheitsereignissen und Schwachstellen A Melden von Informationssicherheitsereignissen A Melden von Sicherheitsschwachstellen

7 Verzeichnis der Maßnahmen aus Anhang A der ISO A.14 A.13.2 Umgang mit Informationssicherheitsvorfällen und Verbesserungen A Verantwortlichkeiten und Verfahren A Lernen von Informationssicherheitsvorfällen A Sammeln von Beweisen Sicherstellung des Geschäftsbetriebs (Business Continuity Management) A.14.1 Informationssicherheitsaspekte bei der Sicherstellung des Geschäftsbetriebs A A A A A Einbeziehen von Informationssicherheit in den Prozess zur Sicherstellung des Geschäftsbetriebs Sicherstellung des Geschäftsbetriebs und Risikoeinschätzung Entwickeln und Umsetzen von Plänen zur Sicherstellung des Geschäftsbetriebs, die Informationssicherheit enthalten Rahmenwerk für die Pläne zur Sicherstellung des Geschäftsbetriebs Testen, Instandhaltung und Neubewertung von Plänen zur Sicherstellung des Geschäftsbetriebs A.15 Einhaltung von Vorgaben (Compliance) A.15.1 Einhaltung gesetzlicher Vorgaben A Identifikation der anwendbaren Gesetze A Rechte an geistigem Eigentum A Schutz von organisationseigenen Aufzeichnungen A Datenschutz und Vertraulichkeit von personenbezogenen Informationen A Verhinderung des Missbrauchs von informationsverarbeitenden Einrichtungen A Regelungen zu kryptografischen Maßnahmen A.15.2 Übereinstimmung mit Sicherheitspolitiken und Standards und technische Übereinstimmung A Einhaltung von Sicherheitsregelungen und -standards

8 Verzeichnis der Maßnahmen aus Anhang A der ISO A Prüfung der Einhaltung technischer Vorgaben A.15.3 Überlegungen zu Revisionsprüfungen von Informationssystemen A Maßnahmen für Revisionen von Informationssystemen A Schutz von Revisionswerkzeugen für Informationssysteme

9 Einige Fachbegriffe: deutsch / englisch Die wenigen hier aufgeführten Fachbegriffe dienen ausschließlich dem Vergleich zwischen der englischen und deutschen Fassung des ISO Akzeptanz des (Rest-)Risikos... risk acceptance Anwendungsbereich... scope Bedrohung... threat Dokumentenlenkung... control of documents Einhaltung von Vorgaben... compliance Erklärung zur Anwendbarkeit... statement of applicability Informationssicherheitsleitlinie... information security policy Integrität... integrity ISMS-Leitlinie... ISMS policy Managementbewertung... management review Maßnahme... control 76 Maßnahmenziele... control objectives Nicht-Abstreitbarkeit... non-repudiation Regelungsbereich... security control clause Restrisiko... residual risk Risikoabschätzung... risk estimation Risikoanalyse... risk analysis Risikobehandlung... risk treatment Risikobewertung... risk evaluation Risikoeinschätzung... risk assessment Risiko-Identifizierung... risk identification Schwachstelle... vulnerability Sensibilisierung(smaßnahmen)... awareness (programme) 76 Diese Übersetzung von control ist nicht gut gelungen: Besser wäre Regel oder Anforderung. 249

10 Einige Fachbegriffe: deutsch / englisch Sicherheitsvorfall... (security) incident Sicherheitskategorie... (main) security category Sicherstellung des... business continuity Geschäftsbetriebs... management Verfügbarkeit... availability Vertraulichkeit... confidentiality (Informations-)Werte... (information) assets Zuverlässigkeit... reliability Zuweisbarkeit... accountability 250

11 Verzeichnis der Abbildungen und Tabellen Abbildung 1: Der PDCA-Zyklus Abbildung 2: Struktur des Anhang A Tabelle 1: Übersicht über Zertifizierungsmodelle Tabelle 2: Normen mit Bezug zum Anhang A der ISO Tabelle 3: Definition des Schutzbedarfs Tabelle 4: PDCA-Phasen Tabelle 5: Übersicht über die Regelungsbereiche und Sicherheitskategorien Tabelle 6: Gruppierung der Regelungsbereiche Tabelle 7: Maßnahmen der Sicherheitskategorie Tabelle 8: Bedrohungsliste Tabelle 9: Liste von Schwachstellen Tabelle 10: Bewertung von Risiken Tabelle 11: Übersicht Schutzbedarf Tabelle 12: Beispiel Schutzbedarfsanalyse (1) Tabelle 13: Beispiel Schutzbedarfsanalyse (2) Tabelle 14: Beispiel Schutzbedarfsanalyse (3)

12 Verwendete Abkürzungen AktG BDSG BGB BNetzA BS BSI CAD CBT CC CD CERT COSO CMM CMMI CSP DATech DFÜ DIN DoS DVD EDI (E)DV EN ETSI EVU Aktiengesetz Bundesdatenschutzgesetz Bürgerliches Gesetzbuch Bundesnetzagentur (früher: RegTP) British Standard Bundesamt für Sicherheit in der Informationstechnik Computer Aided Design Computer Based Training Common Criteria Compact Disc Computer Emergency Response Team Committee of the Sponsoring Organizations of the Treadway Comission Capability Maturity Model Capability Maturity Model Integration Certification Service Provider Deutsche Akkreditierungsstelle Technik e.v. Datenfernübertragung Deutsches Institut für Normung e.v. Denial of Service Digital Versatile Disc Electronic Data Interchange (elektronische) Datenverarbeitung European Norm European Telecommunications Standards Institute Energieversorgungsunternehmen 253

13 Verwendete Abkürzungen FiBu GdPdU GoBS HGB IDS IEC IEEE IFRS IKS IP ISF ISMS ISO IT ITIL ITSEC ITSEM IV KMU KonTraG LAN MTBF Finanz-Buchhaltung Grundsätze der Prüfung digitaler Unterlagen Grundsätze ordnungsgemäßer DVgestützter Buchführungssysteme Handelsgesetzbuch Intrusion Detection System International Electrotechnical Commission Institute of Electrical and Electronics Engineers Inc. International Financial Reporting Standards Internes Kontrollsystem Internet Protocol Information Security Forum Information Security Management System International Organization for Standardization Informationstechnik, informationstechnisches Information Technology Information Library Information Technology Security Evaluation Criteria Information Technology Security Evaluation Manual Informationsverarbeitung, informationsverarbeitendes Kleine und mittelständische Unternehmen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Local Area Network Mean Time between Failure 254

14 Verwendete Abkürzungen NDA PC PCI-DSS PCMCIA PDA PDCA PDF PIN PUK QM ROSI RZ SAK SigG SoA S-OX SQL SSL SüG TCSEC TDDSG TDG TGA TK(-) TKG UrhG USB USV Non Disclosure Agreement Personal Computer Payment Card Industry Data Security Standard Personal Computer Memory Card International Association (Standard für PC-Erweiterungskarten) Personal Digital Assistent Plan-Do-Check-Act Portable Document Format Personal Identification Number Personal Unblocking Key Qualitätsmanagement Return on Security Investment Rechenzentrum Signaturanwendungskomponente Signaturgesetz Statement of Applicability Sarbanes Oxley Act Structured Query Language Secure Sockets Layer Sicherheitsüberprüfungsgesetz Trusted Computer System Evaluation Criteria Teledienstedatenschutzgesetz Teledienstegesetz Trägergemeinschaft für Akkreditierung GmbH Telekommunikation(s-) Telekommunikationsgesetz Urheberrechtsgesetz Universal Serial Bus unterbrechungsfreie Stromversorgung 255

15 Verwendete Abkürzungen VDE VS VS-A WLAN ZDA Verband der Elektrotechnik, Elektronik und Informationstechnik Verschlusssache(n) Verschlusssachen-Anweisung Wireless LAN Zertifizierungsdiensteanbieter 256

16 Quellenhinweise Bei den folgenden Internet-Adressen sind ergänzende Informationen zu bekommen, verschiedentlich ist auch ein Download der Standards und Dokumente möglich: British Standard...www.bsi-global.com Common Criteria... ISO...www.iso.org IT-Grundschutz... ITSEC...www.t-systems-zert.com 77 ITU...www.itu.int Signaturgesetz TCSEC /BS / BS :1999 Information security management Part l: Code of practice for information security management, /BS / BS :2002 Specification for Information Security Management, /BSI100-1/ BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) /BSI100-2/ BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise /BSI100-3/ BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz 77 Menü: Service-Bereich. 78 Menü: Elektronische Signatur/Rechtsvorschriften. 79 Direkter Link: 257

17 Quellenhinweise /CC/ /CEM/ /DIN ISO 27001/ /DIN 45011/ /DIN 45012/ /GSHB/ /ISO 13335/ /ISO 17025/ /ISO 19011/ /ISO 73/ ISO / IEC 15408: Common Criteria for Information Technology Security Evaluation, Version 3.1, 2006 Common Methodology for Information Technology Security Evaluation, Version 3.1, 2006 Informationstechnik IT- Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen (ISO / IEC 27001:2005), deutsche Fassung von /ISO 27001/ DIN EN 45011:1998 Allgemeine Anforderungen an Stellen, die Produktzertifizierungssysteme betreiben (entspricht ISO / IEC Guide 65:1996) DIN EN 45012:1998 Allgemeine Anforderungen an Stellen, die Qualitätsmanagementsysteme begutachten und zertifizieren (entspricht ISO / IEC Guide 62:1996) IT-Grundschutz(handbuch) ISO / IEC IS 13335: Information Technology Security techniques Management of information and communications technology security (Part 1 to 5) ISO / IEC 17025:2005 Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien ISO 19011:2002 Leitfaden für Audits von Qualitätsmanagement- und / oder Umweltmanagementsystemen ISO / IEC Guide 73:2002 Risk management Vocabulary Guidelines for use in standards 258

18 Quellenhinweise /ISO 17799/ ISO / IEC 17799:2005 Information technology Security techniques Code of practice for information security management /ISO 27001/ ISO / IEC 27001:2005 Information technology Security techniques Information security management systems Requirements /ISO 9000/ ISO 9001:2000, Qualitätsmanagementsystem Anforderungen /ISO 14000/ ISO 14001:2004, Umweltmanagementsystem Anforderungen /ITSEC/ Information Technology Security Evaluation Criteria, Version 1.2, 1991 /ITSEM/ Information Technology Security Evaluation Manual, Version 1.0, 1993 /ITU/ ITU-T Recommendation X.1051: Information security management system Requirements for telecommunications (ISMS-T), Fassung /PCI-DSS/ Payment Card Industry Data Security Standard (PCI DSS), Version 1.1, September 2006 /SigG/ Signaturgesetz vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179) /SigV/ Signaturverordnung vom 16. November 2001 (BGBl. I S. 3074), geändert durch Artikel 2 des Gesetzes vom 4. Januar 2005 (BGBl. I S. 2)" /TCSEC/ Trusted Computer System Evaluation Criteria, DoD: STD, December

19 Sachwortverzeichnis A Abnahme 158 Abstrahlschutz 151 Allgemeine Geschäftsbedingungen 52 Anforderungsanalyse 204 Angriffe 23 Angriffspotenzial 24 Anmeldeverfahren 94, 95, 184, 185 Anwendungsbereich VIII, 33, 39, 40, 41, 49, 50, 73, 76, 82, 97, 98, 115, 134, 147, 149, 208 Archivierung 118, 163, 206 Auditbericht 66, 84, 219, 225, 231, 232, 233, 234 Auditoren 74, 80, 84, 88, 150, 157, 178, 219, 220, 222, 223, 225, 227, 229, 231, 235, 236, 239 Auditplan 65, 225, 229 Aufbewahrungsfristen 206 Aufsichtsbehörden V, 218 Aufzeichnungen 9, 20, 26, 58, 62, 67, 68, 73, 74, 79, 82, 118, 157, 173, 174, 175, 178, 194, 200, 205, 206, 210 Ausgabedaten 191 Authentizität 22 Autorisierung 171, 181, 183 B Backup 59, 92, 104, 118, 126, 142, 151, 161, 177, 189, 204 Basel II V, 1, 4, 5, 11 Basis-Sicherheits-Check 34 BDSG 5 Bedrohungen 28, 29, 33, 42, 43, 45, 51, 86, 107, 115, 116, 122, 144, 149, 151, 161, 170, 171 Benutzeraktivitäten 173 Benutzeridentifikation 94, 184 Benutzerregistrierung 177 Beschaffungsrecht 6 Beschwerdeverfahren 226 Betriebsmittel 92, 150, 151, 152, 153 Betriebsprozesse 154 Betriebssysteme 12, 92, 164, 179, 183, 185, 195, 238 Beweise 174, 200 Blitzschutz 109, 120, 123 BS VII BS VII BSI-Standard 27, 30, 128 Bundesdatenschutzgesetz 5 Business Continuity Management 91, 93,

20 Sachwortverzeichnis C CERT 136, 197 Change Management 195 Clear Desk Policy 180 Client-Server 169 CMM 16 Cobit 7 Common Criteria 12, 15, 58, 238, 239 Compliance 93, 204 Copyright 205 Corporate Governance 1 COSO 3 D DATech 223, 239 Datenschutz V, VII, 63, 206 Defizite 42, 84, 218, 219, 225, 227, 231, 232, 234 Dienstleister 4, 52, 63, 157, 158, 162, 181 Dienstleistung 20 Dienstleistungsvereinbarungen 162 Disziplinarverfahren 145 Dokumentenlenkung 73, 75, 77, 84 E E-Commerce 169, 170, 171 Eigentümer 41, 42, 101, 111, 112, 113, 139 Einführungsphase 48, 66 Eingabedaten 190, 191 Einstufung 113, 124, 139, 140, 175 Einzelmaßnahme (Begriff) 29 elektronische Signatur 167, 170 Elementarereignisse 23, 24, 42, 43, , 166, 168, 228, 229 Erfolgskontrolle 71, 80, 197 Erklärung zur Anwendbarkeit 33, 34, 48, 49, 54, 55, 75, 123 Eskalation 10, 61, 198 Eskalationswege 61 externe Audits 65, 173, 224, 228, 231 F Fahrlässige Handlungen 23 Fehlbedienung 23 Fehlerprotokolle 175 Fehlerzustände 173 Fernwartung 181 Freigabe 75, 76, 134, 155, 160, 195, 213, 215, 216 G GDPdU 2, 3 Gefährdungen 26 Gefährdungskatalog VIII, 26, 34 Geschäftdaten 196 Geschäftsprozesse 50, 101,

21 Sachwortverzeichnis Geschäftsrisiken 36, 45, 214 Geschäftstätigkeit 20 Gesetzesverstöße 23, 26, 204 GoBS 2, 3 Grundschutz-Audit 235 Grundschutz-Bausteine 29 Grundwerte 22 H Hacker 23, 24, 165, 185, 238 Hashwerte 191, 193 I Incident Management-Plan 60, 61, 67, 202, 203 Information 20 Informationssicherheitsleitlinie 31, 32, 33, 40, 41, 50, 91, 132, 133, 143 Informationswerte 20, 31, 105, 111 Innentäter 23, 100 Integrität 21 internes Audit 65, 68, 83, 218, 222 Inventarverzeichnis 105, 106, 107, 153 ISMS 35 ISMS-Dokumentation 73, 76 ISMS-Leitlinie 25, 31, 32, 40, 41, 44, 48, 50, 55, 59, 63, 72, 73, 75, 76, 80, 82, 85, 87, 99, 132, 133, 142, 158, 229 ISO , 72, 75 ISO VII, 15, 34, 47, 79, 89, 95, 138 ISO , 8, 9, 10, 72, 75 Isolation 187 IT-Anwendungen 21 IT-Grundschutz VII, VIII, 7, 10, 19, 21, 22, 26, 27, 29, 30, 31, 32, 34, 110, 124, 128, 217, 218, 235, 236, 237, 239, 257 IT-Grundschutzhandbuch VII ITIL 9, 10, 13 IT-Verbund 21, 29, 30, 235, 238 K Kapazitätsplanung 158, 159, 173 Kennzahlen 173, 214, 215 Kommunikationsverbindungen 110, 111, 113, 118, 124, 127, 149 Konformität VI, VIII, 3, 19, 35, 79, 89, 217, 218, 219, 235, 237, 238 KonTraG 1, 218 Kontrollpflicht 208 Kontrollsystem 2, 3, 98, 103 Korrekturmaßnahmen 86, 88, 89, 233, 234 Kreditwesengesetz 4 Kreditwürdigkeit V Kryptogeräte 192 Kryptografie 14, 191, 192, 193, 207 Kryptokonzept

22 Sachwortverzeichnis Kryptotechnik 192 Kumulationseffekt 126 L Laufzettel 68, 146 M Managementbewertung 55, 62, 63, 66, 67, 68, 69, 71, 80, 84, 85, 86, 87, 99, 208 Management-Forum 80, 99, 133 Managementsystem 37 Maßnahme (Begriff) 29 Maßnahmenkatalog 34, 47, 211 Maßnahmenziele 28, 33, 46, 48, 49, 53, 54, 56, 57, 72, 83, 85, 89, 94, 136 Maximumprinzip 112, 125, 126 Mean Time between Failure 24 Medien 70, 72, 77, 78, 116, 118, 153, 161, 163, 164, 165, 167, 168, 175, 180, 206 Missbrauch 207 Mobile Computing 92, 187, 188 Modellierung 11, 29, 34, 128, 211 N Nachrichten 168, 191 Need-To-Know 176 Netzsicherheit 92, 161, 162 Nicht-Abstreitbarkeit 22 Notfallhandbuch 61, 202 Notfallplan 61, 108 O Off-Site Tests 237 On-Site Tests 237 Ordnungsmäßigkeit 21, 154 Organisation 19 Ortsbegehung 232 P Passwörter 94, 95, 178, 179, 184, 185 PCI-DSS 13 PDCA 38, 39, 52, 54, 62, 68, 71, 80, 173, 213, 218 Penetrationstests 12, 162, 210, 237, 238 Perimeterschutz 148 Personal 20 Physische Werte 20 Planungsphase 39, 49, 54, 64, 101, 213 Priorisierung 56 Prozess 37 Q Qualitätsmanagement V Quellcode 194,

23 Sachwortverzeichnis R Realisierungsplanung 34 Redundanzmaßnahmen 128 Regelungsbereich 91, 93 Ressourcenmanagement 60, 81 Restrisiko 28, 30, 31, 33, 45, 47, 48, 53, 82 Revision 209, 222 Revisionsstand 77, 78 Revisionstools 211 Risiko 22, 25, 27, 44, 47 Verlagerung 30, 52 Risikoabschätzung 25, 35, 43, 44, 52, 73 Risiko-Akzeptanz 30 Risikoanalyse VII, VIII, 25, 26, 27, 32, 33, 34, 35, 44, 102, 107, 124, 128, 129, 137, 138, 202, 257 Risikobehandlung 30, 32, 33, 45, 46, 52, 55, 99, 197 Risikobehandlungsplan 30, 54, 55, 56, 73, 74 Risikobewertung 26, 27, 32, 33, 35, 44, 45, 50, 52, 65, 73, 82, 121, 137, 138 Risikoeinschätzung 26, 32, 33, 35, 36, 41, 45, 50, 51, 52, 53, 55, 56, 64, 73, 87, 89, 99, 101, 115, 123, 124, 131, 158, 161, 202 Risiko-Identifizierung 25, 35, 44, 51 Risikoindex 24 Risikoklasse 24, 41, 44, 46, 47, 73, 74, 87 Rollen 55, 59, 100, 112, 134, 147, 154, 176, 177, 179, 229 Routingkontrolle 183 S Sarbanes-Oxley 1, 2, 3, 99, 103 Schadenauswirkung 27 Schadenkategorien 26 Schadsoftware 92, 159, 160 Schlüssel 146, 147, 185, 192, 193, 206, 208, 230 Schlüsselerzeugung 192 Schlüsselverteilung 192 Schlüsselwechsel 192 Schulung 58, 59, 144, 145 Schutzbedarf VII, 27, 29, 30, 34, 110, 111, 123, 124, 125, 126, 127, 128, 134, 135 Schutzbedarfsanalyse 11, 34, 113, 123, 124, 125, 126, 127, 128 Schwachstellen 23, 24, 28, 33, 34, 42, 43, 45, 51, 70, 86, 93, 102, 107, 115, 117, 119, 136, 197, 198, 199, 209, 218, 238 Sensibilisierung 58, 82, 83, 144, 145, 180 Server-Zertifikate 182 Sessions 186 Sicherheitsbereiche 92, 147, 148, 150, 151 Sicherheitskategorie 91, 131 Sicherheitskonzept 31, 33, 34, 153 Sicherheitsnachweise

24 Sachwortverzeichnis Sicherheitspläne 67 Sicherheitspolitik 31 Sicherheitsvorfälle 16, 51, 59, 60, 61, 62, 69, 70, 86, 88, 91, 93, 142, 173, 185, 198, 199 Sicherheitsziele 21, 32, 43, 192 Sicherheitszonen 147, 148, 149, 175 Simulationen 201, 213, 214, 215 Software 20, 153, 159, 193, 194, 205 Softwareentwicklung 197 Software-Lizenzen 165 Sollzustand 234 Solvency II V, 4, 5, 11 S-Ox 2, 4, 11 Speichermedien 153, 163, 164 Standards 14 Stärke von Sicherheitsmaßnahmen 24 Strukturanalyse 34, 110 Subjekte 21 Systemdokumentation 165 Systemplanung 158 System-Tools 185 T Tayloring VI Telearbeit 92, 187, 188, 189 TGA 223, 239 Transaktionen 171, 206 Trojaner 159 Trusted Site 12 U Überprüfungsphase 62 Umsetzungsphase 54 Umweltschutz-Management V V Validierung 190, 191, 213, 214 Verantwortlichkeiten 37, 40, 54, 55, 56, 79, 92, 98, 99, 100, 111, 112, 133, 134, 142, 143, 146, 154, 155, 199, 201, 203 Verbindungszeit 94, 186 verdeckter Kanal 196 Verfügbarkeit 21 Verkabelung 109, 110, 152 Verschlüsselung 14, 135, 161, 167, 168, 169, 170 Versicherungen 46 Versiegelung 182 Verteilungseffekt 126 Vertraulichkeit 21, 22, 140 Vier-Augen-Prinzip 100, 156, 186 Viren 159, 193 Vorbeugemaßnahmen 61, 86, 87, 89, 229, 231 W Webtrust 13 Werte 20 Wiederanlauf 61, 67 Wiederaufbereitung 163,

25 Sachwortverzeichnis Wiedereinspielen 171 Wiederholungsaudit 228 Wirksamkeit 57, 59, 63, 74, 86 Z Zeitsynchronisation 175 Zertifikate 167 Zertifizierung 219, 220, 237 Grundschutz 7 ISMS VII Produkte 25 Zertifizierungsreport 25, 238 Zertifizierungsstelle 8, 12, 219, 220, 221, 225, 226, 227, 238, 239 Zugangskontrolle 90, 92, 175, 176, 179, 180, 183, 187, 194 Zugriffskontrolle 90, 92, 173, 174, 176, 183 Zutrittskontrolle 117, 148 Zutrittskontrollsystem 146 Zuverlässigkeit 22 Zuweisbarkeit

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Zertifizierung nach ISO 27001

Zertifizierung nach ISO 27001 Zertifizierung nach ISO 27001 Herzlich Willkommen 13.01.2011 Inhaltsverzeichnis Überblick an die Anforderungen zur Zertifizierung nach ISO 27001 Gründe für ein ISMS Informationssicherheitsmanagementsystem

Mehr

Vorwort. Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf. Praxisbuch ISO/IEC 27001

Vorwort. Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf. Praxisbuch ISO/IEC 27001 Vorwort Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas Schaaf Praxisbuch ISO/IEC 27001 Management der Informationssicherheit und Vorbereitung auf die Zertifizierung

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy Abkürzungen AIS BGBl BNetzA BSI CC CEM DAR DATech DIN EAL ETR ETSI EVG ISO IT ITSEC ITSEF ITSEM JIL PP SF SigG SigV SOF ST TSF ZDA Anwendungshinweise und Interpretationen zum Schema (des BSI) Bundesgesetzblatt

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ISO/IEC 27001 fördert das Bewusstsein, dass Informationen als Werte zu schützen sind

ISO/IEC 27001 fördert das Bewusstsein, dass Informationen als Werte zu schützen sind 20. Mai 2014 ISO/IEC 27001 fördert das Bewusstsein, dass Informationen als Werte zu schützen sind Martin Wyss Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) 1 Agenda Vorstellung

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! Nordthüringer IT - Sicherheitsforum 2015 11.06.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! Nordthüringer IT - Sicherheitsforum 2015 11.06. MITsec - Gelebte IT-Sicherheit in KMU - Nordthüringer IT - Sicherheitsforum 2015 11.06.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition:

Mehr

Der IT Security Manager

Der IT Security Manager Der IT Security Manager Klaus Schmidt ISBN 3-446-40490-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-40490-2 sowie im Buchhandel Vorwort...XI Über den Autor...XII

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Informationssicherheits-Standard der ILfD, Arbeitsgruppe Informationssicherheit

Informationssicherheits-Standard der ILfD, Arbeitsgruppe Informationssicherheit Informationssicherheits-Standard der ILfD, Arbeitsgruppe Informationssicherheit (Code of practice in practice) Version 1.0 Status Final Datum 07. September 2011 Dateiname 11-09-07 ILfD Informationssicherheitsstandard

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 12/13 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Überblick über die OSI-Sicherheitsarchitektur 2.

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY

ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY ADLON Datenverarbeitung Systems GmbH CLOUD SECURITY ADLON Datenverarbeitung Systems GmbH Cloud Security, Konstanz, 14.12.2011 Agenda Die Firma ADLON Der Trend Cloud Was ist IT Sicherheit Cloud Security

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

Information Security Management System

Information Security Management System WHITEPAPER Information Security Management System Grundpfeiler der Informationssicherheit Information Security Management System Grundpfeiler der Informationssicherheit Welche Werte gilt es zu schützen?

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Q_PERIOR schafft Sicherheit bei Internetzahlungen

Q_PERIOR schafft Sicherheit bei Internetzahlungen Q_PERIOR schafft Sicherheit bei Internetzahlungen Mindestanforderungen an die Sicherheit von Internetzahlungen Was Sie jetzt wissen müssen und wie Sie sich bestmöglich auf die neuen Anforderungen vorbereiten!

Mehr

BS 7799 Von Best Practice zum Standard. Secorvo White Paper

BS 7799 Von Best Practice zum Standard. Secorvo White Paper BS 7799 Von Best Practice zum Standard Secorvo White Paper Informationssicherheits-Management nach BS 7799 im Überblick Version 1.3 Stand 27. September 2005 Jörg Völker Secorvo Security Consulting GmbH

Mehr

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you.

Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002. Manfred Scholz, CISA Manfred.Scholz@sec4you. Sind Sicherheit und Internet Banking vereinbar? Forum ecommerce und Vertrauen 25. September 2002 Manfred Scholz, CISA Manfred.Scholz@sec4you.com Internet Banking aus der Sicht eines Prüfers Anforderungen

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

Datenschutz im Client-Management Warum Made in Germany

Datenschutz im Client-Management Warum Made in Germany Datenschutz im Client-Management Warum Made in Germany Wolfgang Schmid 2013 baramundi software AG IT einfach clever managen Wolfgang Schmid, Rechtsanwalt und Fachanwalt IT-Recht Bundesdatenschutzgesetz

Mehr

Von der Qualität zur Informations-Sicherheit Einführung eines ISMS Informations-Sicherheits-Management-Systems Reinhard Witzke, Produktmanager ISMS

Von der Qualität zur Informations-Sicherheit Einführung eines ISMS Informations-Sicherheits-Management-Systems Reinhard Witzke, Produktmanager ISMS Von der Qualität zur Informations-Sicherheit Einführung eines ISMS Informations-Sicherheits-Management-Systems Reinhard Witzke, Produktmanager ISMS AGENDA RICHTLINIEN/GESETZE ZUR INFORMATIONSSICHERHEIT

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

Anhang 4. Kriterienkatalog für die Anerkennung von alternativen Plattformen

Anhang 4. Kriterienkatalog für die Anerkennung von alternativen Plattformen Anhang 4 Kriterienkatalog für die Anerkennung von alternativen Plattformen Inhaltsverzeichnis 1 Zweck und Inhalt 3 2 Begriffe 3 2.1 Anbieter... 3 2.2 Plattform... 3 3 Anforderungen an die Informationssicherheit

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Normkonforme Informationssicherheit

Normkonforme Informationssicherheit Normkonforme Informationssicherheit Dr. Andreas Gabriel Ethon GmbH 25. September 2014 Notwendige Sicherheit in unserem Alltag?! Lassen Sie uns starten Chongqing (China) Washington (USA) Quellen: Facebook;

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA 1 EV

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

E Effektivität 30 Effizienz 30 Endpoint Security 24, 107, 116, 119 INDEX

E Effektivität 30 Effizienz 30 Endpoint Security 24, 107, 116, 119 INDEX Index A AES 157 Android 162 ios 161 Änderungsmanagement 34 Monitoring 180 Android 15, 45, 63 Android for Work 143 Android ID 96 Android L 144 Einstellungen 143 Installation 72 Verschlüsselung 162 App 10

Mehr

Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen

Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen Unternehmens- und Informations- Management Consultants Berechtigungsmanagement und IT-Sicherheit im Gesundheitswesen Best Practice und Vorgehensweise mit ISO 27799 Referent: Tim Hoffmann Internet: www.uimc.de

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Regulatorische Anforderungen und aktuelle Lösungskonzepte

Regulatorische Anforderungen und aktuelle Lösungskonzepte Sichere Geschäftsprozesse Regulatorische Anforderungen und aktuelle Lösungskonzepte Dortmund, 8. November 2007 Matthias Struck Advisory Services Agenda 1 Rechtliche & regulatorische Anforderungen 2 Wesentliche

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Hacking Day 2013 Security Lifecycle

Hacking Day 2013 Security Lifecycle Hacking Day 2013 Security Lifecycle Griffige Information Security Policies Balance zwischen Theorie und Praxis Yves Kraft Team Leader Consulting & Training OneConsult GmbH 16. Mai 2013 Hacking Day 2013

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Physische Sicherheit im IT-Security Umfeld

Physische Sicherheit im IT-Security Umfeld Physische Sicherheit im IT-Security Umfeld Vorstellung Thomas Hackner MSc IT Security Penetration Testing Lockpicking Physical Security 2 / 79 IT Penetration Tests Physical Penetration Tests Social Engineering

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr